首页
社区
课程
招聘
牛刀小S兄,请进来看一看
发表于: 2006-10-1 14:29 3538

牛刀小S兄,请进来看一看

2006-10-1 14:29
3538
您的大作《菜鸟成长历程》我正在拜读,有几个问题想请教:

接着在popad那行F4(运行到该位置),然后F8(单步运行)就跳到了OEP

我找到了POPAD那一行,它的下一行是这样写的:

jo short 0043be00

我在popad 那一行按了F4运行,程序的界面就出来了,然后我回到ollyice再按F8,却没有任何反映,请问我的操作哪一点儿不对?我该如何做?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 263
活跃值: (10)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
2
0046AD56    61              POPAD             ;鼠标点击后 F4,然后两个 F8 ,到达 OEP
0046AD57  ^ E9 98CBFEFF     JMP ex1.004578F4

这是 UPX 的壳,你说的是????????
2006-10-1 15:14
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
用peid0.94侦测,显示是这个
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

另外:我按了F8两次,还是没反应
2006-10-1 15:49
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
大作不敢当,姑且当作是读书笔记来看吧

就用upx的壳来讲,很多都是只有一个pushad和对应的一个popad

这个例子:PEID检测出
UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo

0046AC00 >  60              pushad               ;这是程序入口点
0046AC01    BE 00104400     mov     esi, 00441000
0046AC06    8DBE 0000FCFF   lea     edi, [esi+FFFC0000]
0046AC0C    C787 D0940500 D>mov     dword ptr [edi+594D0], 10A125D8
0046AC16    57              push    edi
0046AC17    83CD FF         or      ebp, FFFFFFFF

-------------------------------------
0046AD56    61              popad                :查到popad,而且上下找就找到这一个,按F4
0046AD57  ^ E9 98CBFEFF     jmp     004578F4      :这里是跳到OEP,按F8
0046AD5C  ^ 74 AD           je      short 0046AD0B

-------------------------------------
接着就来到了这里:
004578F4    55              push    ebp
004578F5    8BEC            mov     ebp, esp
004578F7    83C4 F4         add     esp, -0C
004578FA    B8 AC774500     mov     eax, 004577AC
--------------------------------------

这个只是拿来熟悉一下工具的,如果你想运用在upx和aspack上面,当然也可以,aspack能找到好多popad,你需要按上下键来确定哪一个是真的.这种方法最简单,但是适用范围也最小.
2006-10-1 18:48
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
我就是照着你说的来做的,您能费点时间,到我的帖子里看看,这个软件的壳我脱成功没?多谢了!
http://www.live-share.com/files/47951/Damuzhi_Unpack.exe.html
2006-10-1 19:54
0
游客
登录 | 注册 方可回帖
返回
//